Agradecemos a quienes dedican su tiempo y conocimiento a reportar vulnerabilidades de forma responsable. Su trabajo hace que FarmGestor sea más seguro para todos.
Identificó un vector de inyección SQL en el endpoint de búsqueda de medicamentos. Reportó con prueba de concepto completa y pasos de reproducción detallados.
Detectó que el endpoint de movimientos de stock exponía información sin filtrar por sede cuando se enviaba un parámetro específico.
Reportó un vector XSS almacenado en el campo de notas del modal de movimientos. Fue corregido con sanitización en el frontend y backend.
Encontró que modificando el ID de orden en la URL de pago, un usuario podía ver el estado de pagos de otras instituciones.
Identificó que el endpoint de login no tenía rate limiting, permitiendo ataques de fuerza bruta. Se implementó bloqueo progresivo.
Notificó que el archivo robots.txt no bloqueaba correctamente el acceso a la carpeta de administración. Se ajustó la configuración.
Si encontraste una vulnerabilidad en FarmGestor, reportala de forma responsable y tu contribución será reconocida públicamente.